Websecurity - Веб безпека

Виявлена можливість обходу перевірок SSL в Ruby.

Уразливі версії: Ruby 1.8, Ruby 2.0.

Некоректна реалізація перевірки імені сервера.

• Vulnerability in Ruby (деталі)

В даній добірці експлоіти в веб додатках:

• EMC M&R (Watch4net) - Directory Traversal Vulnerability (деталі)
• EMC M&R (Watch4net) - Credential Disclosure Vulnerability (деталі)
• ProjectSend Arbitrary File Upload Exploit (деталі)
• Liferay Portal 7.0.x <= 7.0.2 - Pre-Auth RCE Exploit (деталі)
• ASUSWRT 3.0.0.4.376_1071 - LAN Backdoor Command Execution Exploit (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в темах Urban City, Epic, Authentic, Antioch та плагіні Rich Counter. Для котрих з’явилися експлоіти.

• WordPress Urban City Arbitrary File Download (деталі)
• WordPress Epic Arbitrary File Download (деталі)
• WordPress Authentic Arbitrary File Download (деталі)
• WordPress Antioch Arbitrary File Download (деталі)
• WordPress Rich Counter 1.1.5 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Виявлений витік інформації в Perl модулі XML::LibXML (через XXE атаку).

Уразливі версії: Perl XML::LibXML до 2.0119.

Розкриття інформації при роботі з entity.

• XML::LibXML vulnerability (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.ojigivcirada.gov.ua (хакером Error 7rB) - 08.03.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://disg-rivne.gov.ua (хакером Kuroi’SH) - 16.03.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.newgas.org.ua (хакером 1967) - 15.01.2015, зараз сайт вже виправлений адмінами
• http://www.botoksil.com.ua (хакером Blacksmith Hackers) - 21.02.2015, зараз сайт вже виправлений адмінами
• http://7ass.com.ua (хакером Kuroi’SH) - 13.05.2015, зараз сайт вже виправлений адмінами

В даній добірці уразливості в веб додатках:

• HP ProCurve Manager (PCM), HP PCM+ and HP Identity Driven Manager (IDM), SQL Injection, Remote Code Execution, Session Reuse (деталі)
• mediawiki security update (деталі)
• DNN(DotNetNuke) Iconbar Control Panel Bad Access Level config (деталі)
• DNN(DotNetNuke) Ribbon Bar Control Panel Bad Access Level config (деталі)
• Multiple vulnerabilities in SpamTitan (деталі)

19.09.2014

У серпні, 22.08.2014, я знайшов уразливості в Hikvision DS-2CD2012-I. Це IP Camera - мережева веб камера. Зокрема XML Injection, Brute Force та Abuse of Functionality уразливості.

Стосовно веб камер та відеореєстраторів Hikvision раніше я писав про уразливості в Hikvision DS-2CD2412F-IW.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.

14.05.2015

XML Injection (WASC-23):

http://site/ISAPI/%3C/requestURL%3E%3Clink%3Ehttp://site%3C/link%3E%3CrequestURL%3E/

Її можна використати для XML Injection та XSS атак.

Abuse of Functionality (WASC-42):

Логін постійний: admin.

Brute Force (WASC-11):

В формі логіна http://site/doc/page/login.asp немає захисту від Brute Force атак. Дані відправляється через GET запит з Basic Authorization.

Відсутність захисту від Brute Force (такого як капча) також призводить до можливості проведення CSRF атаки, про що я писав в статті Атаки на незахищені логін форми. Це дозволяє проводити віддалений логін. Але вони захистилися від CSRF атаки через використання Basic Authorization.

Всі ці уразливості наявні в різних камерах Hikvision. Розробники вже виправили XML Injection та Brute Force.

Раніше я писав про березневі DDoS атаки та взломи в Україні, а зараз розповім про ситуацію у квітні.

В зв’язку з сепаратистськими і терористичними акціями на сході України хакерська активність була значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Іноземними хакерами були проведені неполітичні взломи:

www.busk-rda.gov.ua (хакерами з Moroccan Islamic Union-Mail) - 02.04.2015
www.isc.gov.ua (хакерами з Moroccan Islamic Union-Mail) - 02.04.2015
www.dnpb.gov.ua (хакерами з Moroccan Islamic Union-Mail) - 02.04.2015

Проукраїнськими хакерами були атаковані наступні сайти:

dnr24.su (Українські Кібер Війська) - 22.04.2015
Квітневі DDoS атаки на сайти ДНР і ЛНР

Сайти ДНР і ЛНР були атаковані неодноразово на протязі квітня.

Українські Кібер Війська закрили наступні сайти:

Закритий сайт novorussia.info (через скаргу хостеру) - 04.2015
Закритий сайт antimaydan.com (через скаргу хостеру) - 04.2015
Закритий сайт gubarev.info (через скаргу хостеру) - 04.2015
Закритий сайт slv.org.ua (через звернення до СБУ) - 07.04.2015
Закритий сайт slav.pp.ua (через звернення до СБУ) - 07.04.2015
Закритий сайт rubezhnoe.org.ua (через звернення до СБУ) - 07.04.2015
Закритий сайт nahnews.com.ua (через звернення до СБУ) - 16.04.2015

Виявлені уразливості безпеки в PHP.

Уразливі версії: PHP 5.5.

Пошкодження пам’яті при розборі архівів, виконання коду в apache2handler.

• Vulnerabilities in PHP (деталі)

В даній добірці експлоіти в веб додатках:

• Citrix NITRO SDK - Command Injection Vulnerability (деталі)
• Citrix Command Center - Credential Disclosure Vulnerability (деталі)
• Apache CloudStack 4.3 / 4.4 Unauthenticated LDAP Binds Vulnerability (деталі)
• Varnish Cache CLI Interface Remote Code Execution Exploit (деталі)
• Lotus Mail Encryption Server (Protector for Mail) LFI to RCE Exploit (деталі)